怎樣區(qū)分內(nèi)部威脅人員和外部惡意軟件編程者?
Nick Lewis(CISSP,GCWN))是一名信息安全分析師。他主要負(fù)責(zé)風(fēng)險(xiǎn)管理項(xiàng)目,并支持該項(xiàng)目的技術(shù)PCI法規(guī)遵從計(jì)劃。2002年,Nick獲得密歇根州立大學(xué)的電信理學(xué)碩士學(xué)位;2005年,又獲得Norwich大學(xué)的信息安全保障理學(xué)碩士學(xué)位。在他09年加入目前的組織之前,Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學(xué)院初級(jí)兒科教學(xué)醫(yī)院,以及Internet2和密歇根州立大學(xué)工作。
怎樣區(qū)分內(nèi)部人員和非內(nèi)部人員編寫的惡意軟件?是否有軟件產(chǎn)品可以將由企業(yè)內(nèi)部人員編寫的惡意軟件檢測(cè)出來(lái)?
Nick Lewis:可信內(nèi)部人員發(fā)起的攻擊是最常見(jiàn)和最古老的威脅之一。這些人可能已經(jīng)擁有訪問(wèn)權(quán)限來(lái)發(fā)起惡意攻擊,或者他們可以通過(guò)本地權(quán)限提升攻擊來(lái)容易地訪問(wèn)敏感數(shù)據(jù)。
雖然區(qū)分內(nèi)部人員和非內(nèi)部人員攻擊很困難,但更困難的是檢測(cè)內(nèi)部人員編寫的惡意軟件。外部惡意軟件編程者編寫的有針對(duì)性攻擊可能會(huì)偽裝成來(lái)自內(nèi)部的攻擊,因?yàn)檫@個(gè)攻擊中可能利用了內(nèi)部賬戶。
另外,數(shù)據(jù)泄露也可能是內(nèi)部人員攻擊。
與內(nèi)部惡意軟件相比,非內(nèi)部人員和非定制化惡意軟件更容易檢測(cè),因?yàn)閬?lái)自其他網(wǎng)絡(luò)的其他系統(tǒng)可能會(huì)向反惡意軟件供應(yīng)商提交相同的可疑文件;供應(yīng)商的安全情報(bào)也有助于對(duì)這種威脅的檢測(cè)。
然而,現(xiàn)在沒(méi)有軟件產(chǎn)品可以發(fā)現(xiàn)企業(yè)內(nèi)部人員編寫的惡意軟件。你可以確定惡意軟件是否使用了內(nèi)部命令和控制系統(tǒng),或者文件是否是從合法系統(tǒng)下載。在發(fā)現(xiàn)惡意軟件文件后,應(yīng)該檢查其共享庫(kù)或編碼風(fēng)格,并與企業(yè)內(nèi)部風(fēng)格進(jìn)行對(duì)比,查看是否有任何共同之處。
企業(yè)可以通過(guò)監(jiān)控系統(tǒng)和審查日志中的可疑活動(dòng)來(lái)檢查內(nèi)部攻擊(無(wú)論是否使用自定義開(kāi)發(fā)的惡意軟件),例如檢查身份驗(yàn)證在何時(shí)何地發(fā)生,以及在這些系統(tǒng)哪些文件被訪問(wèn)。CERT也在專注于內(nèi)部威脅,并提供了內(nèi)部威脅最佳做法列表來(lái)幫助防止和檢測(cè)內(nèi)部威脅。